152-ФЗ для малого бизнеса: штрафы выросли до 15 миллионов, и как закрыть вопрос за один день

11/04/26

Б-152

Если у вас есть хотя бы один сотрудник или форма на сайте — вы оператор персональных данных по российскому закону. Не «возможно», не «зависит от масштаба». Просто оператор.

Большинство предпринимателей об этом знают. Большинство все равно ничего не делают. Не потому что безответственные — просто непонятно, что именно делать, куда смотреть и стоит ли беспокоиться вообще.

С мая 2025 года стоило начать беспокоиться.

Закон распространяется на всех, кто собирает, хранит или передает персональные данные физических лиц. Под это определение попадают:

Список можно продолжать долго. Короткий тест: если вы знаете имя, телефон или email хотя бы одного человека — вы оператор.

Закон не требует от малого бизнеса создавать отдел защиты данных. Требований конечное число, и они понятные:

Зарегистрироваться в реестре РКН. Уведомить Роскомнадзор о том, что вы обрабатываете персональные данные. Делается онлайн, один раз.

Оформить согласие на обработку данных. Там, где это требуется: медицина, биометрия, работа с детьми, маркетинговые рассылки.

Вести реестр операций с данными. Список процессов, в которых участвуют персональные данные: какие данные, зачем, на каком основании, сколько храните. Именно это чаще всего отсутствует у малого бизнеса, и именно это первое, что проверяют.

Иметь политику конфиденциальности на сайте. Не скопированную с чужого сайта заглушку, а документ, который реально описывает, как вы работаете с данными.

Это основа. Не нужно быть юристом, чтобы с этим разобраться. Нужно один раз сесть и пройти список.

Обеспечить безопасность. Минимум: ограниченный доступ к данным, пароли на системах, понимание, где данные хранятся.

До мая 2025 года максимальный штраф для организации составлял 75 тысяч рублей. Многие закладывали это в бюджет как стоимость риска и не занимались вопросом вообще. Такая логика больше не работает.

Для небольшой компании с выручкой 30−50 миллионов в год 3% оборота — это годовая прибыль. Целиком.

Кроме штрафов: репутационные потери при публичной утечке данных клиентов, иски от пострадавших физлиц и потеря доверия партнеров. В сфере, где все держится на рекомендациях, это бывает дороже штрафа.

Вот что нужно сделать. Если делать это последовательно, занимает один рабочий день, не больше.

Пройдитесь по всем системам: CRM, бухгалтерия, почта, таблицы, мессенджеры. Где хранятся имена, телефоны, email, адреса, паспортные данные сотрудников или клиентов? Это и есть ваши процессы обработки данных. Не нужно сразу заносить это в какой-то сложный документ. Просто поймите, что у вас есть.

Это основной документ. Он описывает: какие данные обрабатываете, зачем, на каком правовом основании, сколько хранятся, кто имеет доступ. Здесь у большинства и начинаются трудности, потому что непонятно, как это должно выглядеть. Шаблоны помогают: вы берете готовое описание процесса, который похож на ваш («прием на работу», «работа с клиентами в CRM», «рассылка по базе») и адаптируете под себя.

Форма обратной связи, форма заказа, виджет обратного звонка, чат-бот, счетчики аналитики — все это обрабатывает данные. Проверьте: есть ли политика конфиденциальности? Указано ли согласие на обработку там, где оно нужно? Совпадает ли то, что написано в политике, с тем, что реально происходит?

Это делается через сайт Роскомнадзора. На основании данных из реестра заполняете форму уведомления и отправляете. Занимает 20−30 минут при наличии готового реестра.

Закон не требует идеального порядка раз и навсегда. Он требует актуального состояния. Появился новый процесс — добавьте в реестр. Сменился подрядчик, которому передаете данные, — обновите. Пересмотрели срок хранения — отразите. Это займет 10−15 минут, если реестр ведется как живой документ, а не создается с нуля каждый раз.

Обычно встречаются два объяснения.

Первое: «непонятно, с чего начать». Задача кажется объемной и специализированной. Нет ощущения, что разберешься сам без юриста. Откладываешь.

С первым объяснением проще: если есть правильный инструмент, задача занимает день, а не месяц.

Второе: «это не про нас, проверяют банки и медицину». Так думали все до недавнего времени. Роскомнадзор в 2024—2025 годах резко увеличил число проверок в малом бизнесе, особенно по жалобам. Недовольный клиент или бывший сотрудник пишет в надзорный орган, и этого достаточно, чтобы к вам пришли. Масштаб компании не защищает.

Privacy Box — сервис для автоматизации соответствия 152-ФЗ. Помогает составить реестр обработки данных, проверяет сайт, находит риски несоответствия, генерирует документы для РКН. 170+ готовых шаблонов процессов — не нужно придумывать, как это должно выглядеть.

Регистрация занимает три минуты. Если уведомление в РКН уже подавали, данные можно импортировать на старте.

Есть бесплатный тариф без ограничений по времени. До 30 процессов, кадровые и юридические шаблоны, сканер сайта, генерация документов. Для небольшой компании или ИП этого хватает, чтобы навести реальный порядок.

Материалы по теме